Данный сайт является проектом ООО "Амакс". Сегодня: Воскресенье, 22.12.2024, 06:06

Приветствую Вас Гость

Поиск по сайтам
[ Новые сообщения · Участники · Правила форума · RSS · ?
Установка оборудования видеонаблюдения в Москве и Московской области
Поиск по форумам
  • Страница 2 из 2
  • «
  • 1
  • 2
Hikvision - вирус в регистраторах
iTuneDVRДата: Среда, 15.10.2014, 15:20 | Сообщение # 41
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Цитата Alexandr ()
1 это одна из версий.
Согласен
Цитата Alexandr ()
2 вопрос получения рута не принципиален в данном контексте.
Несогласен т.к. в тексте явно идёт речь про пароли по дефолту и выставление в интернет в DMZ

Цитата Alexandr ()
3 нужно смотреть установленную прошивку для проверки лишнего, мониторить подключения внешним снифером\роутером. суммируя: как тема называется ? Hikvision вирус в регистраторах. причём в Bitcoin Miner Tech Bulletin описан не вирус даже, а устанавливаемое вручную, надеюсь пока ещё, ПО. был бы вирус разговор шёл бы не про 20-200 регистраторов.
Согласен
Цитата Alexandr ()
значит по теме: регистраторы подключенные к сети могут подвергаться атакам. это не только вирус, но и другие зловреды (malware). это касается не только оборудования Hikvision, проблема значительно обширнее, потому и предложил загуглить.

зачастую удобно, и именно так поступают очень часто, списать на нечто неосязаемое и неподвластное - вирус и точка. а то что пыли на схемах с палец толщиной это нормально и на работу не влияет. личная практика. в этой теме уже начали валить всё в кучу, включая физические повреждения чипов.
Согласен, что проще списать на вирус и алес!
Цитата Alexandr ()
из рекомендаций по предотвращению - менять пароли и порты. по возможности не использовать вебку, подключаться через ПО. при паранойе подключаться через зашифрованные тунели. по устранению - перепрошивка. т.к.  Bitcoin Miner может "съесть" все ресурсы устройства под вычисления, то удалённо подключиться не выйдет, вариант TFTP.
На счёт съедание ресурсов. Помимо получения доступа даже по руту, надо конечно еще и знать архитектуру железки, чтобы на ней исполнить АРМ-код. Иначе делать это в баше на скриптах - как-то стремновато и походит на явную утку либо такую красивую  отмазку официалов!!!
Кому над осчитать биткоинты на однопроцессорном камне, да еще и таком?
Слишком много вопросов, чтобы хоть чуть чуть походило на правду!
Много сомнений, как в прочем и ответ одного товарища, имещего доступ к техпожержке хика напрямую, который мне поведал о такой-же проблеме.


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
AlexandrДата: Среда, 15.10.2014, 21:31 | Сообщение # 42
Группа: Администраторы
Сообщений: 5345
Репутация: 113
Статус: Offline
2 имеется ввиду получение рута брутом или хаком, изменение дефолтового пароля ведь отметил ниже.
насчёт кода - ГУГЛ, там полно статей, ну что в этом сложного то ?
 
iTuneDVRДата: Среда, 15.10.2014, 23:09 | Сообщение # 43
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Цитата Alexandr ()
2 имеется ввиду получение рута брутом или хаком, изменение дефолтового пароля ведь отметил ниже.
Тут согласен, но только как получение доступа если выставлено в интернет и телнет и веб. Но многие ведь говорят, что доступа не было!
Должна быть цель, а без неё просто так кодить никто и ничего не будет.
А попытки навредить уж оказались какими-то слабыми и ради этого карячится делать брут и писать код. 
Есть ли смысл??? Если всё восстанавливается через TFTP.


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
AlexandrДата: Четверг, 16.10.2014, 18:37 | Сообщение # 44
Группа: Администраторы
Сообщений: 5345
Репутация: 113
Статус: Offline
Цитата viper80 ()
с виду работаю а изображение ни с одного выхода не показывают и по сети их не видно.

Цитата Prometei ()
Сталкивался с чем-то похожим на попытку атаки ДВРа здесь отписывался http://www.hikvision.msk.ru/forum/6-1227-1 но пароли у меня были поменяны.

Цитата daler_77 ()
провел  оптику на рабочее место и на место adsl modem-a поставил wifi-router от tp-link . после подключение регистратора к роутеру , регистратор начинает перезагружаться

Цитата Prometei ()
У меня так падает с периодичностью один-два раза в час 7316HVI-ST только у него прямое подключение к инету (знаю, дико, но вот так). Методом проб и ошибок выяснил, что вылетает при подключении к сети.

Цитата metron21 ()
S-7216HWI-SH  с виду работает а изображение ни с одного выхода не показывают и по сети их не видно

Цитата abvlimited ()
Мы восстановили порядком уже 70 штук разных модели точно с такой проблемой но в основном 71** и 72** SH/SL.

Цитата abvlimited ()
2-ну большенство да имели выход в интернет но есть клиенты которые утверждали что не были подключины к интернету но это единицы.

да вот как бы и нет. в основном все в сети были. итогов то всё равно нет, перепрошивкой лечили без разбора полётов.
Цитата stadik ()
У меня на сегодня 3шт 7108 вылетило в разных местах и даже в городах ! У всех одна и та же проблема - светит питание и сеть (если подключена) ! Вскытие показало что на всех зверьках умерла микросхема  tw2968  !

интересно, а защита по температуре есть в них ? по даташиту не нашёл, тогда в принципе можно выжечь. нагрузить рег математикой и возможно получить такой результат, пару стареньких пеньков и амд так сжёг ))
ну а по цели - почитайте ссылки. цель ботнет и получение виртуальной, пока ещё, валюты.
 
iTuneDVRДата: Четверг, 16.10.2014, 19:05 | Сообщение # 45
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Я внимательно читал посты все вышеперечисленных форумчан и никто из них так до конца внятно не ответил и даже не попытался оценить вероятные причины. Случаи с подключениями к интернет и обвалы не показательны и могут быль следствием совершенно другого типа интернет атаки, целенаправленной или нет.
Сам не раз замечал подключаясь в регистраторам дахуа по стандарстному порту, что уже лимит попыток исчерпан у пользователя admin и это как правило постоянно. Т.е. брут телнета присутствует, но конечная-то цель неясна.
Я неоднократно предлагал всем написавшим в этой теме, по возможности сделать аккуратное вскрытие, благо не единичные экземпляры были.
Однако вскрытия так  и не состоялось и гадать можно всё что угодно.
Был бы однозначный результат что это и с чем это едят, проанализировав бы пару тройку таких случаев!

Поэтому если всё же появиться у кого-то такая возможность, то убедительно прошу снять лог загрузки с TTL-RS232 адаптера или RS232 если таковой есть на регистраторе и полный дамп микросхемы.
Тема вполне интересная, заслуживающая внимания и касается абсолютно всех!


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru


Сообщение отредактировал iTuneDVR - Четверг, 16.10.2014, 19:08
 
Установка оборудования видеонаблюдения в Москве и Московской области
AlexandrДата: Среда, 22.10.2014, 17:17 | Сообщение # 46
Группа: Администраторы
Сообщений: 5345
Репутация: 113
Статус: Offline
потому и писал - один из вариантов. и рекомендации самые элементарные из возможных для снижения рисков. возможно именно из-за этих рекомендаций на наших регах\объектах ещё ниразу не возникла подобная ситуация.
 
ZloiuserДата: Четверг, 09.02.2017, 18:20 | Сообщение # 47
Группа: Проверенные
Сообщений: 92
Репутация: 4
Статус: Offline
Добрый день!
Наш коллега из Баку просил географию поломок. Так вот я из Дагестана. У нас ситуация такая. С середины прошлого года начались подключения к камерам имеющим динамик и оттуда шел разговор с клиентами, иногда неприличный. Так же управлялись PTZ камеры "самопроизвольно". ( Объекты наших клиентов монтажников, заранее пишу чтоб не ругались на стандартные пароли или как они подключались я не в курсе). Далее мы рекомендовали сменить пароли и отключить на камерах UPNP, DDNS, SSH, Telnet вообщем все службы которые не задействуются. Одновремено с этим на OSD меню камер и регистраторов начали писать матом про Путина. Я к тому что тут поднимался вопрос про намеренную атаку.
Дальше начинается интересное. Ближе к концу года начали вылетать регистраторы в разных городах по 5-10 шт в день, симптомы такие как тут описаны, с виду работает но в сети не видно, картинку на экран не выдает. Данные неисправности появляются на  RVI, Falcon, Spymax, Litetec в основном, на Hikvision и Hiwatch меняется пароль, причем сложные цифробуквенные тоже.
На BestDVR-ах была следующая ситуация: при подключении регистратора к сети, падала полностью сеть. В Дербенте провайдер утверждал, что падает сеть за роутером на их узле. Лечилось перепрошивкой регистратора и роутера, так как после отключения регистратора, роутер уже не работал как положено (сброс по питанию не помогал). Позавчера принесли BestDVR который не выдавал на экран ничего, кнопка питания светится, пароль был стандартный. Заменили на точно такой же, но пароль поменяли на цифробуквенный достаточно сложный. Сегодня звонит клиент, говорит, что точно так же подох новый регистратор.
На одном из объектов где падала сеть, провайдер говорит что регистратор шлет кучу пакетов и тем самым ложит сеть.
Все таки подозрения на злонамеренную вирусную атаку, причем не имеющую каких то целей, а лишь бы навредить.
 
blcorpДата: Четверг, 09.02.2017, 19:52 | Сообщение # 48
Группа: Проверенные
Сообщений: 165
Репутация: 6
Статус: Offline
В последнее время обратилось очень много клиентов, меняют пароль и пишут всякую чушь на OSD.
Отсутствие картинки (черный экран) может быть связана с тем, что "хакеры" убирают яркость и контраст в 0.
По логам тупой перебор паролей (5-10 раз в секунду) на учетке админ, которая не переименовывется и не лочиться.
Вывод:
Обновлять прошивку на актуальную.
Менять внешние порты на нестандартные
Ставить надежные пароли
Создавать резервные учетки
Включать блокировку при попытках подбора пароля
Если позволяет сетевое оборудование - банить по айпи при попытках взлома путем фильтрации трафика и отлавливания попыток подбора.
 
iTuneDVRДата: Воскресенье, 12.02.2017, 17:31 | Сообщение # 49
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Цитата blcorp ()
Отсутствие картинки (черный экран) может быть связана с тем, что "хакеры" убирают яркость и контраст в 0.
Рад, что слово хакеры взяты в ковычки. Это просто хулиганы и не более, лучше бы действительно что полезное бы сделали или решили посложнее задачу, потому как с этого всё равно ни денег, ни персональной славы, а только wasting time wink

Цитата blcorp ()
По логам тупой перебор паролей (5-10 раз в секунду) на учетке админ, которая не переименовывется и не лочиться.
Видимо это ограничения лога, потому как так можно до посинения с такой скоростью перебирать.
На старых где не лочится и где есть нбансы, там делают это многопоточно, а иначе нет смысла.

В новых 5 попыток и блок на 30 минут с этого подключения.
На то сис.админ и нужен, чтобы контролировать ситуацию и экономить на нём явно не стоит, как и в тоже время не возлагать на него совсем всё!

Обязательно резервные, потому как неприятная блокировка камеры никому не нужна.
Хитрые имена и хитриыые пароли вплодь до 16 символов. Главное самому не забыть wink

Цитата blcorp ()
Если позволяет сетевое оборудование - банить по айпи при попытках взлома путем фильтрации трафика и отлавливания попыток подбора.
По возможности лучше уводить в VPN, что  эффективней наверное будет. Не просто и на поверхности, но опять же, что важней - пусть каждый решает сам!


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
  • Страница 2 из 2
  • «
  • 1
  • 2
Поиск: